В современном мире электронная почта стала неотъемлемой частью коммуникации, однако, когда речь заходит о передаче персональных данных, возникает множество вопросов, связанных с безопасностью и соблюдением законодательства.
Законодательная база
Согласно Федеральному закону от 27.07.2006 №152-ФЗ "О персональных данных", операторы, обрабатывающие персональные данные, обязаны принимать все необходимые меры для защиты информации от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Передача данных
Передача и подготовка к передаче персональных данных по электронной почте осуществляется через каналы связи, которые выходят за пределы контролируемой зоны. К таким каналам относятся следующие TCP-порты:
- IMAP: 143 и 993 (для получения почты)
- POP3: 110 и 995 (для получения почты)
- SMTP: 25, 587 и 465 (для отправки почты)
- HTTP: 80 (для веб-интерфейса почтовых сервисов)
- HTTPS: 443 (для защищенного веб-интерфейса почтовых сервисов)
Меры безопасности
В соответствии с приказом ФСТЭК России от 18.02.2013 №21, оператор персональных данных при передаче и подготовке к передаче данных по электронной почте должен соблюдать следующие меры безопасности:
- АВЗ.1 - Реализация антивирусной защиты.
- ЗИС.3 - Обеспечение защиты персональных данных от раскрытия, модификации и навязывания при их передаче и подготовке к передаче по каналам связи, выходящим за пределы контролируемой зоны, включая беспроводные каналы.
- ОЦЛ.4 - Обнаружение и реагирование на поступление незапрашиваемых электронных сообщений и иной информации, не относящейся к функционированию информационной системы персональных данных (защита от спама).
Реализация базовой меры ЗИС.3 осуществляется путем защиты каналов связи от несанкционированного физического доступа и/или использования сертифицированных ФСБ России СКЗИ (средств криптографической защиты информации) в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.
Ответственность за нарушение
Передача и подготовка к передаче персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ является нарушением требований к защите персональных данных, установленных Законом о персональных данных. Лица, ответственные за такую передачу или подготовку, несут предусмотренную законодательством Российской Федерации ответственность:
- Дисциплинарную: вплоть до увольнения (п. «в» ст. 81 ТК РФ).
- Гражданско-правовую: компенсацию морального вреда пострадавшим (ст. 151 ГК РФ).
- Административную: штрафы для должностных и юридических лиц (ч. 1 ст. 13.6, ч. 6 ст. 13.12, ст. 13.14, ч. 7 ст. 13.15 КоАП РФ).
- Уголовную: в случае причинения значительного ущерба (ст. 272 УК РФ).
Выводы
Таким образом, передача и подготовка к передаче персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ строго запрещена. Для обеспечения безопасности операторы должны применять СКЗИ и выполнять базовые меры АВЗ.1, ЗИС.3 и ОЦЛ.4.
Операторы, осуществляющие передачу и подготовку к передаче персональных данных по электронной почте без применения сертифицированных ФСБ России СКЗИ, несут предусмотренную законодательством Российской Федерации ответственность.